博客
关于我
强烈建议你试试无所不能的chatGPT,快点击我
(1)shiro简介和第一个demo
阅读量:6493 次
发布时间:2019-06-24

本文共 2362 字,大约阅读时间需要 7 分钟。

之前一直在用shiro开发,不过只是会使用,并没有深入了解,最近有时间学习了一下,把最近学习所得分享一下。

 shiro简介

Apache Shiro是一个强大且易用的Java安全框架,执行身份验证、授权、密码和会话管理。使用Shiro的易于理解的API,您可以快速、轻松地获得任何应用程序,从最小的移动应用程序到最大的网络和企业应用程序,

相比于spring security更加的简洁和使用方便了。

三个核心组件

组件看不懂可以先把demo跑起来,然后回头再看,慢慢的体会就明白了。

Subject:代表了当前访问系统的用户,不一定是人,也可以是爬虫等其他东西。

SecurityManager:安全管理器,是shiro框架的核心。管理者subject,session等。

Realms:可以看成是一个权限的数据源,用户登录认证和授权都是通过realm来进行的,可以设置多个realm。

第一个demo

添加pom文件

org.apache.shiro
shiro-core
1.2.2

在classpath下新增一个shiro.ini文件。文件内容如下:(意思就是在这个系统中存在zhang这个用户,密码是123,后期会用存储在数据库中的账户密码,这里方便测试和讲解。。)

[users]zhang=123

测试代码:

Factory
factory =new IniSecurityManagerFactory("classpath:shiro.ini"); //得到安全管理器 SecurityManager securityManager = factory.getInstance(); SecurityUtils.setSecurityManager(securityManager); Subject subject = SecurityUtils.getSubject(); UsernamePasswordToken token = new UsernamePasswordToken("zhang", "123"); try { subject.login(token); } catch (AuthenticationException e) { e.printStackTrace(); } System.out.println(subject.isAuthenticated()); subject.logout(); System.out.println(subject.isAuthenticated());

最后输出

true

false。

 

1首先通过IniSecurityManagerFactory和shiro.ini文件生成一个SecurityManager工厂。

2获得该工厂的实例并托管给SecurityUtils这个类,其实就是放在了SecurityUtils这个类的一个static变量中,下面操作的底层还是SecurityManager里面的方法。

3通过SecurityUtils得到一个主体对象,此时这个对象里面是没有数据的,也没有通过认证和授权,在SecurityUtils.getSubject获取的同时将当这个subject绑定到了当前线程里面。(如果你再getSubject也是该subject)

4创建一个token绑定用户名和密码。然后调用subject.login进行登录(其实就是调用了SecurityManager进行认证和授权)

 

shiro核心架构图:

 

Authentication身份认证,通常用于校验密码等操作。

Authorization授权,权限验证,校验用户是否拥有某种角色,或者某种更细的资源。

创建SecurityManager步骤

我们创建Security对象在java环境下创建了DefalutSecurityManager,它默认继承了AuthenticatingSecurityManager(认证器管理器),AuthorizingSecurityManager(授权器管理器)。

 

这两个管理器分别持有Authenticator(认证器)和Authorizer(授权器)两个变量。(这里只贴图一张,还有一个可以看看源码)

这两个在java环境下的实现类分别是,ModularRealmAuthenticator(默认认证器)和ModularRealmAuthorizer(默认授权器)

 

并且在读取shiro.ini文件后默认创建了IniRealm对象,注入到上面的认证器和授权器中。(授权器也有个realms对象,realms存放着账号密码,对应的权限等信息)

最后创建了一个SecurityManager对象。

 

在调用subject.login(token);方法时候。会最终调用这个安全管理器的认证器对应的方法。

登录的时候如果账号密码异常,会抛出对应的异常。(这里还绑定了session,shiro的session和web中的session是两个概念,后面介绍)

 

到这里这个zhang的subject就登录成功了。

github地址

 

转载于:https://www.cnblogs.com/nfcm/p/9870821.html

你可能感兴趣的文章
C语言第五次作业
查看>>
JavaScript 基础,登录验证.
查看>>
汇编语言之实验一
查看>>
ABP(现代ASP.NET样板开发框架)系列之10、ABP领域层——实体
查看>>
币氪研报|DOGE(dogecoin)
查看>>
GitHub使用总结
查看>>
求字符串的组合
查看>>
UINavigationController
查看>>
nginx 设置websocket支持
查看>>
appium+python搭建自动化测试框架_Appium元素定位(二)
查看>>
分辨率纪录
查看>>
C# 把一个文件夹下所有文件复制到另一个文件夹下 把一个文件夹下所有文件删除(转)...
查看>>
CentOS7像外部163邮箱发送邮件
查看>>
UOJ#34 FFT模板题
查看>>
Xshell和VirtualBox虚机CentOS7的连接
查看>>
动态的改变程序的主题
查看>>
解析xml文件
查看>>
使用阿富汗和巴基斯坦地区的SRTM数据生成山体阴影和彩色地形图
查看>>
android Button ImageButton 区别
查看>>
intellij IDEA常见操作
查看>>